华为整体网络解决方案

项目编号 华为网络整体解决方案华为网络整体解决方案 精品文档 2欢迎下载 目目 录录 1概述 3 2企业网络建设设计原则 4 3华为产品解决方案 6 3 1整体架构设计 6 3 1 1总体网络架构 6 3 1 2有线网络解决方案 7 3 1 2 1 核心层网络设计 7 3 1 2 2 汇聚层网络设计 7 3 1 2 3 接入层网络设计 8 3 1 3数据中心解决方案 8 3 1 4无线网络解决方案 8 3 1 4 1 无线网络的建设需求 9 3 1 4 2 无线网络解决方案 11 3 2高可靠性设计 14 3 2 1网络高可靠性设计 14 3 2 2设备高可靠性设计 14 3 2 2 1 重要部件冗余 14 3 2 2 2 设备自身安全 15 3 3安全方案设计 16 3 3 1园区网安全方案总体设计 16 3 3 2园区内网安全设计 17 3 3 2 1 防 IP MAC 地址盗用和 ARP 中间人攻击 17 3 3 2 2 防 IP MAC 地址扫描攻击 18 3 3 2 3 广播 组播报文抑制 20 3 3 3园区网边界防御 20 3 3 4园区网出口安全 21 3 3 5无线安全设计 22 3 3 5 1无线局域网的安全威胁 23 3 3 5 2 华为无线网络的安全策略 23 4设备介绍 25 4 1Quidway S9300 系列交换机 25 4 2Quidway S7700 系列交换机 32 4 3Quidway S5700 系列交换机 37 4 4无线控制器 WS6603 44 精品文档 3欢迎下载 1 1概述概述 企业园区网络承载企业所有 IT 基础设施和企业所有上层软件应用 对一个 企业的重要性不言而喻 而且随着企业对于提高生产率 工作效率提升的重视 传统的办公方式也已存在诸多不便 无论是在办公桌前 会议室中 还是在公 司的咖啡厅 待客室 今天的用户都需要方便地获取各种网络服务 一个典型的企业园区网络通常由楼宇办公网络 数据中心 Internet 出口 以将这四部分互联起来的主干网络组成 其中办公网络可分为有线网络和无线 网络 在规划与建设一个企业园区网络的时候 这些部分都要充分考虑 同时 企业园区网络还面临着新技术不断涌现 企业应用不断增加的现实 问题 如何构建一个保障企业未来 5 10 年扩展 同时兼顾设备的投资保护的企 业园区网络 困扰着每一位企业 CIO 华为企业园区网解决方案结合了高性能的路由 交换基础设施和提升安全 可靠等特性 可协助企业构建一个安全 可靠 易接入 易扩展 易管理的企 业园区网络 精品文档 4欢迎下载 2 2企业网络建设企业网络建设设计原则设计原则 在网络建设项目中 我们应该遵循以下设计原则 1 合理性 整体性原则 系统建设的功能必须充分满足网络安全性检测与分析 网络安全性监测和 电子数据鉴定的需求是系统建设的首要原则 深入调研 全力做好网络与信息系统安全检测 监测和认证的需求分 析 这是系统成败的关键 充分考虑已有资源 软硬件设备及人员 合理利用 避免出现不必要 的浪费 系统建设尽可能模拟国内外最常用的几种网络应用模式 系统建设要有一定的前瞻性 在网络建成后的 3 5 年之内 不会由于 业务量的增加导致对网络结构及主要设备的重大调整 同时要考虑实 际的应用水平 避免技术环境过于超前造成投资浪费 2 标准化原则 为了保证用户的网络系统具有互操作性 可用性 可靠性 可扩充性 可 管理性 应建立一个开放的 遵循国际标准的网络系统 建设的方案要科学 正确 严谨 且现实可行 采用的先进技术应是成熟的 经过实践证明是成功的技术 选用的软硬件平台应采用目前因特网和局域网上最常使用的软硬件厂商 的产品 3 先进性原则 系统建设应充分考虑网络通信技术和互联网技术的发展 建设是循序渐进 的 初期重点应在网络基础环境和基本系统上 系统可根据实际工作中的业务需求灵活地结构所需的网络与系统环境 系统实现采用先进的网络技术 网络安全检测技术 4 安全可靠性原则 精品文档 5欢迎下载 本系统具有特殊性 因此安全保密性非常复杂 系统要有极强的自我保护 能力 选用具有 C2 安全级或 B1 安全级的系统软件平台 配置功能齐全 可视化程度高的网管系统 对网络运行情况进行实时监 督和控制 采取访问权限控制 设置密钥 数据更新认证等多种手段保证数据安全 5 可管理性原则 随着网络规模的扩大和系统复杂程度的增加 网络的管理 监控和维护 以及网络故障的诊断和排除变得越来越复杂 为了使网络系统易于管理和维护 本方案将提供先进而完善的网络管理系统 这样 即方便网络管理员的工作 减轻了劳动强度 也提高了网络系统的管理程度 6 灵活 可伸缩性原则 为适应因特网和互联网络技术的发展 系统必须具有开放性和可扩充性 除单个设备本身的扩展能力之外 在网络系统的设计过程中 还需要考虑整个 网络系统在未来几年的扩充能力和扩充办法 这样才能即照顾目前的应用需求 又能满足今后整个计算机系统的发展需要 应用软件设计要采用结构化和模块设计方法 使系统逻辑结构清晰 易 读 在功能的划分和设计时 使各模块尽可能相对独立 减少相关性以 易于扩充 维护和修改 网络系统要具有异种设备的异种网络的互联互通能力 以达到保护已有 资源并能与其他信息系统交流信息的目的 7 绿色节能原则 随着数据中心的不断壮大 数据中心的电费不断增长 目前 通信 IT 设 备节能是降低能耗的基础 采用底能耗的设备是节能减排最主要的途径 精品文档 6欢迎下载 3 3华为产品解决方案华为产品解决方案 3 13 1 整体架构设计整体架构设计 3 1 13 1 1总体网络架构总体网络架构 整体网络解决方案总体设计以高性能 高可靠性 高安全性 有线无线一 体化和统一的网管系统为原则 以及考虑到技术的先进性 成熟性 并采用模 块化的设计方法 组网图如下所示 网络架构 整个网络的设计方案采用层次化 模块化的设计思路 按照接入层 汇聚 层 核心层和出口层进行网络设备设计部署 通过模块化或者购买单独设备的 方式提供 WLAN AC 控制器 在汇聚层交换机 提供防火墙 负载均衡器等增值 业务功能 满足企业日益增长的业务需求 整个网络的重要特征是不存在网络单点故障 交换机设备和链路都存在冗 余备份 接入交换机与核心交换机通过双规或环网相连接 汇聚交换机双规接 精品文档 7欢迎下载 入核心交换机 交换机之间采用 TRUNK 链路保证链路级可靠性 3 1 23 1 2有线网络解决方案有线网络解决方案 整个网络层次建议采用业界成熟的三层架构 接入 汇聚和核心 最后企 业园区通过出口层网络设备 路由器或交换机 连接到外网通过 这种分层的网络架构 可以保证根据的业务需求 分别对不同层次进行扩 容 3 1 2 13 1 2 1 核心层网络设计核心层网络设计 核心层交换机部署在园区核心机房中 汇聚各楼宇 区域之间的用户流量 提供三层交换机功能 必须能够提供高速数据交换和路由快速收敛 要求具有 较高的可靠性 稳定性和易扩展性等 对于园区网核心层 应该在提供大容量 高性能 L2 L3 交换服务基础上 能够进一步融合了硬件 IPv6 可为园区构建融 合业务的基础网络平台 进而帮助用户实现 IT 资源整合的需求 所以建议核心层采用双机冗余备份的方式构造 消除单点故障 设备的关 键部分采用冗余模式 从而实现整个骨干网络的高可靠性 骨干层建议采用 10G 链路互联 达到高带宽 高转发性能的效果 本次建议采用华为的 S9300 高性能交换机构造核心层 实现高性能的骨干 网络 华为 S9300 支持大容量 高转发性能 完全能够满足各网络的数据转发 3 1 2 23 1 2 2汇聚层网络设计汇聚层网络设计 汇聚层交换机的重要性也是比较高的 一般部署在楼宇独立的网络汇聚机 柜中 汇聚园区接入交换机的流量 一般提供三层交换机功能 汇聚层交换机 作为园区网的网关 终结园区网用户的二层流量 进行三层转发 当路由协议 应用于这一层时 具有负载均衡 快速收敛和易于扩展等特点 这一层还可作 为接入设备的第一跳网关 能够承载校园园区融合业务的需求 根据需要 可以在汇聚交换机上集成增值业务板卡 如防火墙 负载均衡 精品文档 8欢迎下载 器 WLAN AC 控制器 或者旁挂独立的增值业务设备 如 WLAN 盒式 AC 等 为 园区网用户提供增值业务 汇聚层与核心层共同组建成骨干网络 所以汇聚设备的性能要求也是比较 高的 建议采用 10G 的链路互联 达到万兆骨干网络 汇聚交换机需要提供高密度的 GE 接口 汇聚接入交换机的流量 通过 10GE 接口接到核心交换机 推荐使用 S9300 系列交换机作为园区汇聚层交换机 3 1 2 33 1 2 3接入层接入层网络设计网络设计 接入层交换机一般部署在楼道的网络机柜中 接入园区网用户 PC 机或服 务器 提供二层交换机功能 也支持三层接入功能 接入交换机为三层交换机 提供网络的第一级接入功能 一般完成简单的二层交换 安全 Qos 都位 于这一层 对于园区网的接入层设备 建议采用千兆二层接入的方式 应该具 有线速二层交换 IRF 智能弹性堆叠技术以及高级 QoS 策略等功能 3 1 33 1 3数据中心数据中心解决方案解决方案 数据中心的设计目标是实现高冗余 高带宽 高安全性 高可靠性等目的 数据中心内的网络设备主要是 核心交换机 核心防火墙 核心路由器 负载 均衡设备 核心交换机的主要功能是连接服务器 因此必须考虑企业未来的业务增长 核心交换机必须具有很好的扩展性 随着以后网络的扩展 必须具有多个插槽 以便以后网络扩展的时候能够增加网络模块 由于核心交换机在整个网络中具 有十分重要的地位 因此核心交换机必须具有电信级的可靠性和稳定性 核心 网络对数据的快速转发速度要求很高 因此核心交换机需要具备高容量的交换 带宽和包转发速率 我们建议采用华为的 S7700 系列高性能交换机 采用双机 双电源 可实现万兆或者千兆接入 实现数据中心高转发性能的效果 并且可 以通进扩展防火墙模块等方面 实现数据中心的安全 精品文档 9欢迎下载 3 1 43 1 4无线网络解决方案无线网络解决方案 随着以太网的广泛应用 因特网的日益普及 以及移动终端的不断增加 人们对移动 IP 接入的需求迅速增长 无线局域网 WLAN Wireless Local Area Network 作为有线以太网的延伸 一定程度上满足了这种需求 由于无线网络的部署灵活性高 所以受到很多用户的青睐 整个无线网络 WLAN 解决方案可以运行在现有的有线企业网络的基础上 也可以采用一个独立 的网络 它为园区提供了具有部署方便性 安全性 可扩展性的无线网络 让 用户可以在园区中的任何可以收到无线信号的地方立即访问各种网络服务 我们建议采用华为的无线解决方案 在核心网络中部署一套无线控制器 无线 AP 接入到接入层交换机上 各无线 AP 通过无线控制器统一管理 从而实 现易维护 易管理 3 1 4 13 1 4 1无线网络的建设需求无线网络的建设需求 在无线网络建设中 为了解决大规模部署情况下的统一配置 调整问题 以及射频的智能管理问题 现在无线网络建设普遍都采用了瘦 AP 建网模式 瘦 AP 的另一个好处是实现了三层漫游环境下避免重新认证 从而使漫游切换时间 小于 50ms 这对于企业的移动业务 尤其是对切换时间要求最苛刻的语音业务 意义重大 然而 随着无线网络的发展 一些新的需求也逐渐变得越来越强烈 主要 有以下几个方面 精品文档 10欢迎下载 稳定问题 稳定问题 由于 WLAN 网络的组网设计包含无线控制器 接入交换机 无线接入点等大 量设备 在大部分情况下 还需要通过以太网解决供电问题 所有这些环节都 会影响校园无线网络的稳定性 同时由于无线信号的传播深受环境影响 多径 等问题导致无线信号在不同方向上存在非常复杂的衰减现象 实际的信号覆盖 和理想的信号衰减模型往往存在一定差异 所以如何实时根据环境动态调整无 线接入点的信道 发射功率等也是经常困扰无线校园管理人员的难题 安全问题 安全问题 由于无线网络的特殊性 园区无线用户的安全问题就更加突出 对无线网 络的用户来说 所有有线网络存在的安全威胁和隐患都同样存在 同时 任何 不可信的无线设备可以在信号覆盖范围内进行网络接入的尝试 一定程度上也 加剧了无线用户所面临的安全隐患 无线网络的安全问题已经不再是单一的物理层安全 也包括了用户接入安 全 网络层安全 设备安全 安全管理等多个层面上 如何能使企业无线用户 在使用网络时能够像使用有线网络一样安全 可靠 正逐渐成为无线企业网络 建设所关注的核心 精品文档 11欢迎下载 管理问题 管理问题 相对于 FAT AP 来说 虽然 FIT AP 解决方案帮助网区管理人员实现了无线 网络的灵活安装与应用 但管理无线网络却仍然是一项非常耗时且麻烦的事情 在无线园区网络环境中尤为如此 传统的 FIT AP 解决方案由无线控制器 AC 及无线接入点 FIT AP 构成 虽然整个无线网络具有一些设备管理 安全管理功能和用户管理功能 但是与 有线网络难于统一 无法在整个企业范围内实现用户管理及认证 服务质量控 制和安全策略实施等 因此 通常引入无线网络会降低安全性 整个网络管理 起来比较复杂 并且维护成本也比预期高 把网络作为一个整体 整合有线和 无线网络 实现统一的网络控制和管理 对于企业来说具有重要的意义 扩展问题 扩展问题 WLAN 技术的发展日新月异 新技术 新标准层出不穷 除了呼之欲出的 802 11n 在教育行业一个重要的门槛技术是 IPv6 所有的无线产品和解决方 案都要为未来的升级和应用做好准备 应用问题 应用问题 随着 WLAN 技术的逐步成熟 市场上各种各样的 WLAN 终端如笔记本电脑 PDA 双模手机 支持 Wi Fi 的游戏机 即拍即传的数码相机如雨后春笋般涌现 出来 同时价格越来越低 普及程度越来越高 使得无线新业务在园区网中的 丰富应用成为可能 如何在无线网络这个开放的平台上开展丰富的业务是建设 者必须要考虑的问题 例如 VoWiFi 无线监控等业务 解决了园区内部和各园 区之间通讯费用高 无线监控和无线多媒体教学的问题 让无线接入变得更有 价值 精品文档 12欢迎下载 3 1 4 23 1 4 2无线网络解决方案无线网络解决方案 无线管理中心无线管理中心 管理中心管理中心 无线交换机无线交换机运营管理中心运营管理中心 室内型热点无线覆盖室内型热点无线覆盖 办公楼办公楼 室外型热点无线覆盖室外型热点无线覆盖 职工公寓职工公寓 园区有线骨干网 PoE供电接入 无线业务应用无线业务应用 移动数据业务移动数据业务Wi Fi语音漫游语音漫游 华为无线网络解决方案有效实现了有线和无线网络的融合 通过统一的硬 件平台 统一的网络管理 统一的用户管理 统一的应用安全 为园区用户提 供安全的无线接入 根据用户需求 通过在华为系列交换机中加入无线控制器 插卡或者使用单独的无线控制器 就可为原有的有线网络提供无线支持 还可 以像扩展和管理传统有线网络一样 对无线网络进行扩展和管理 可以收到无线信号的地方立即访问各种网络服务 安全性 高安全性 高 QoSQoS 保障保障 华为园区网络 WLAN 解决方案从用户接入安全 网络安全 设备安全等多个 方面保障无线网络的安全 使园区用户安全可靠的使用 WLAN 网络 用户接入安全 华为园区 WLAN 解决方案提供了多样化的用户接入认证以及 加密解决方案 无线接入认证主要支持基于 MAC 地址认证 802 1x 认证 Portal 认证等保证用户安全合法的接入 支持 WEP TRIP CCMP 等加密措施防范 无线接入用户数据被盗 同时可以通过部署 VLAN 隔离 端口隔离等业务隔离技 术避免用户间相互影响 精品文档 13欢迎下载 网络安全 通过接入点对 RF 环境的不间断扫描和监控 防止企业受到未 经授权的不安全的 WLAN 接入点或恶意接入点的影响 设备安全 无线接入点 AP 提供 零配置 功能 无需在设备保存业务配置 仅启动的时候自动从无线控制器加载业务配置 这样可以避免设备丢失造成配 置泄漏而形成对无线网络的安全威胁 园区 WLAN 解决方案可以通过虚拟 AP VLAN 构建一个单独的访客网络为客户 供应商等访客人士提供互联网服务访问权限 对于不同 SSID 承载的用户业务 由于无线空口资源有限 若某个 SSID 流 量过大 比如访客访问 Internet 则可能造成园区用户的不能正常访问无线网 络开展业务 因此基于 SSID 的限速 可以避免其中一种业务流量过大对其他业 务造成影响 另外 基于快速漫游技术可以实现园区无线用户一次认证移动接入 用户 移动到新的接入点时 如果用户之前已经认证过 则用户此时无需再次通过安 全认证 直接接入 保证用户业务的连续性 部署方便 扩展灵活部署方便 扩展灵活 WLAN 网络部署简化 安装便捷 WLAN 的安装工作简单 它无需施工许可证 不需要布线或开沟挖槽 设备的零配置部署功能可以在无线改造现有网络的基 础上轻松部署 WLAN 无线控制器能轻松的管理数个到数十个甚至上千个的无线接入点 随着无 线网络的扩展 新添加的无线接入点能自动检测到无线控制器 并下载相应的 配置信息以及策略信息 无需任何手动操作 统一的网络管理 智能运维统一的网络管理 智能运维 统一的网络管理设备可以实现有线无线网络的统一化管理 简易网络管理 操作 结合智能化的网络运维提升了网络管理效率 无线接入点能够监控环境温度变化 当环境温度低于零下 10 时 启动加 热板 确保低温时的正常工作 而且无线接入点检测到电压将要无法供应的情 况下 复位或故障 上报该告警 描述最后的工作状态 方便故障定位 稳定性稳定性 华为 WLAN 稳定性解决方案从无线控制器的可靠性 接入交换机供电的可 精品文档 14欢迎下载 靠性 无线信号的可靠性这几方面入手 极大的提高了 WLAN 网络的可靠性 在 实际的使用情况来看 启用这些措施之后 WLAN 的可靠性能够得到明显的提升 全面的全面的 PoEPoE 解决方案解决方案 PoE 设备的原理是通过非屏蔽双绞线中四对线中的两对线来传输电源 传 输数据的同时传输直流电 因为 AP 往往要求使用不间断电源 UPS 供应电力 采用 PoE 设备 AP 端仅仅通过一根 RJ 45 网线与网络连接即可以同时传输数据 和电力 因此在使用 PoE 设备的情况下 所有的 AP 都使用一个 UPS 在 PoE 设备 端进行保护 如果不使用 PoE 设备 就需要给每个 AP 配一个 UPS 而且还需要 在 AP 附近安装电源插座 增加了成本 因此使用 PoE 设备将大大降低设备成本 和管理成本 PoE 具有非常明显的优势 具体如下 简化安装 降低成本 不需为每个网络设备单独提供数据和电力线缆 灵活性提高 网络装置可被安装在任何位置 而不需靠近一个已存在的电 源输出口 可靠性增强 有 SNMP 能力的 PoE 装置 可实施远程检测和控制 能有效地 处理或修理装置的耗电量和 或 失效故障 3 23 2 高可靠性设计高可靠性设计 3 2 13 2 1网络高可靠性设计网络高可靠性设计 针对二层接入 接入交换机是二层交换机 汇聚交换机作为用户网关 典 型园区网架构 从接入层 汇聚层 核心层来分层考虑网络可靠性设计 接入层网络是二层网络 接入交换机与汇聚交换机之间通过 Smart Link STP RSTP MSTP RRPP 保证网络可靠性 同时解决二层网络环路问题 汇 精品文档 15欢迎下载 聚层交换机之间通过 VRRP BFD for VRRP 协议确定用户的主备网关 交换机 互联通过 TRUNK 链路 保证链路级可靠性 汇聚交换机与接入交换机之间可通 过 DLDP 协议检测光纤单向故障 单通故障 园区网接入 汇聚 核心交换机通过虚拟化技术进行集群 或堆叠 将两台 多台交换机虚拟化成一台交换机 降低网络拓扑复杂度的同时 提高网络可靠 性 是未来高可靠性园区网的发展趋势 3 2 23 2 2设备高可靠性设计设备高可靠性设计 3 2 2 13 2 2 1 重要部件冗余重要部件冗余 设备本身要具有电信级 5 个 9 的可靠性 需要网络设备支持 主控 1 1 备份 交换网 1 1 1 1 两种方式 DC 电源 1 1 备份 AC 电源 1 1 2 2 备份 模块化的风扇设计 高端配置支持单风扇失效 无源背板 高可靠性 独立的设备监控单元 和主控解耦 所有模块热插拔 完善的各种告警功能 设备管理 1 1 备份 3 2 2 23 2 2 2 设备自身安全设备自身安全 如下图所示 随着黑客工具的泛滥和使用的方便 使的网络攻击的成本越来 越来 但危害越来越大 精品文档 16欢迎下载 这就要求具有强大灵活的自身防护功能 以不变应万变的方法 才能抵挡日 益泛滥的网络攻击 华为公司全系列园区网交换机 S9300 S7700 S5700 S3700 S2700 提供攻 击防范功能 能够检测出多种类型的网络攻击 并能采取相应的措施保护设备 自身及其所连接的内部网络免受恶意攻击 保证内部网络及设备的正常运行 华为全系列交换机支持的攻击防范功能包括防 DDOS 攻击 IP 欺骗攻击 Land 攻击 Ping of Death 攻击 Teardrop 攻击 ICMP Flood 攻击 SYN FLOOD 攻击等 另外 以太网交换机的 MAC 地址表作为二层报文转发的核心 在受到攻击 的时候 直接导致交换机无法正常工作 发生 MAC 地址攻击的时候 攻击者通 过不停的发送 MAC 地址来刷新 填充交换机的 MAC 地址表 由于 MAC 地址表的 规格有限 导致正常流量由于没有正确的转发表项而无法正常转发 ARP 攻击 与此类似 通过攻击报文来更改 MAC 与 IP 地址的绑定 从而重新定向流量 华为全系列交换机可以通过 MAC 地址与端口的绑定以及限制端口 VLAN VSI 下 MAC 地址的最大学习个数可防止 MAC 扫描 并通过 VLAN IP MAC 之间的任 意绑定可防范 ARP 攻击 SAI DAI 功能 华为全系列交换机支持黑洞 MAC 功能 园区交换机收到报文时比较报文目 的 MAC 地址 若与黑洞 MAC 表项相同则丢弃该报文 当用户察觉到某 MAC 地址 精品文档 17欢迎下载 的报文具有一定攻击性 则可以在园区交换机上配置黑洞 MAC 从而将具有该 MAC 地址的报文过滤掉 避免遭受攻击 3 33 3 安全方案安全方案设计设计 3 3 13 3 1园区网安全方案总体设计园区网安全方案总体设计 从园区内网安全 边界防御 园区出口传输安全等多纬度 多层次进行安 全设计和安全防御 对企业内部进行安全区域划分 隔离和权限控制 对企业 外部用户访问进行安全控制 数据加密 防止恶意攻击 园区网全方位的安全 设计方案保证内部 外部用户访问园区网资源的安全性 3 3 23 3 2园区园区内网安全设计内网安全设计 3 3 2 13 3 2 1 防防 IP MACIP MAC 地址盗用和地址盗用和 ARPARP 中间人攻击中间人攻击 1 防 IP MAC 地址盗用 DHCP Snooping 技术是 DHCP 安全特性 通过建立和维护 DHCP Snooping 绑 精品文档 18欢迎下载 定表过滤不可信任的 DHCP 信息 这些信息是指来自不信任区域的 DHCP 信息 DHCP Snooping 绑定表包含不信任区域的用户 MAC 地址 IP 地址 租用期 VLAN ID 接口等信息 DHCP Snooping 绑定表可以基于 DHCP 过程动态生成 也 可以通过静态配置生成 此时需预先准备用户的 IP 地址 MAC 地址 用户所属 VLAN ID 用户所属接口等信息 园区交换机开启 DHCP Snooping 后 会对 DHCP 报文进行侦听 并可以从接 收到的 DHCP Request 或 DHCP Ack 报文中提取并记录 IP 地址和 MAC 地址信息 另外 DHCP Snooping 允许将某个物理端口设置为信任端口或不信任端口 信 任端口可以正常接收并转发 DHCP Offer 报文 而不信任端口会将接收到的 DHCP Offer 报文丢弃 这样 可以完成交换机对假冒 DHCP Server 的屏蔽作用 确保客户端从合法的 DHCP Server 获取 IP 地址 2 防 ARP 中间人攻击 精品文档 19欢迎下载 Dynamic ARP Inspection DAI 在交换机上基于 DHCP Snooping 技术提供 用户网关 IP 地址和 MAC 地址 VLAN 和接入端口的绑定 并动态建立绑定关系 对于用户终端没有使用 DHCP 动态获取 IP 地址的场景 可采用静态添加用户网 关相关信息的静态绑定表 此时园区交换机检测过滤 ARP 请求响应报文中的源 MAC 源 IP 是否可以匹配上述绑定表 不能匹配则认为是仿冒网关回应的 ARP 响应报文 予以丢弃 从而可以有效实现防御 ARP 中间人 网关 ARP 仿冒欺骗攻 击行为 3 3 2 23 3 2 2防防 IP MACIP MAC 地址扫描攻击地址扫描攻击 1 防 IP 扫描攻击 地址扫描攻击是攻击者向攻击目标网络发送大量的目的地址不断变化的 IP 报文 当攻击者扫描网络设备的直连网段时 触发 ARP miss 使网络设备给该 网段下的每个地址发送 ARP 报文 地址不存在的话 还需要发送目的主机不可 达报文 如果直连网段较大 攻击流量足够大时 会消耗网络设备较多的 CPU 和内存资源 可引起网络中断 园区交换机支持 IP 地址扫描攻击的防护能力 收到目的 IP 是直连网段的 报文时 如果该目的地址的路由不存在 会发送一个 ARP 请求报文 并针对目 的地址下一条丢弃表项 弃后续所有目的地址为该直连网段的 ARP 报文 以防 止后续报文持续冲击 CPU 如果有 ARP 应答 则立即删除相应的丢弃表项 并 添加正常的路由表项 否则 经过一段时间后丢弃表项自动老化 这样 既防 止直连网段扫描攻击对交换机造成影响 又保证正常业务流程的畅通 在上述基础上 交换机还支持基于接口设置 ARP miss 的速率 当接口上触 发的 ARP miss 超过设置的阈值时 接口上的 ARP miss 不再处理 直接丢弃 如果用户使用相同的源 IP 进行地址扫描攻击 交换机还可以基于源 IP 做 ARP miss 统计 如果 ARP miss 的速率超过设定的阈值 则下发 ACL 将带有此 源 IP 的报文进行丢弃 过一段时间后再允许通过 2 防 MAC 地址扫描攻击 精品文档 20欢迎下载 以太网交换机的 MAC 地址转发表作为二层报文转发的核心 在受到攻击的 时候 直接导致交换机无法正常工作 发生 MAC 地址攻击的时候 攻击者向攻 击目标网络发送大量的源 MAC 地址不断变化以太报文 园区交换机收到以太报 文会基于报文的源 MAC 学习填充二层 MAC 转发表项 由于 MAC 地址转发表的规 格有限 会因为 MAC 扫描攻击而很快填充满 无法再学习生成新的 MAC 转发表 已学习的 MAC 表条目需通过老化方式删除 这样途径园区交换机大量的单播报 文会因为按照目的 MAC 找不到转发表项而不得不进行广播发送 导致园区网络 中产生大量的二层广播报文 消耗网络带宽 引发网络业务中断异常 交换机二层 MAC 转发表是全局共享资源 单板内各端口 VLAN 共享一份 MAC 转发表 华为园区交换机支持基于端口 VLAN 的 MAC 学习数目限制 同时支持 MAC 表学习速率限制 有效防御 MAC 地址扫描攻击行为 MAC 学习数目达到端口 VLAN 上设置的阈值时 会进行丢弃 转发 告警等动作 动作策略可定制 可 叠加 另外通过园区交换机的 MAC 地址与端口绑定来限制跨端口的 MAC 扫描攻 击 3 3 2 33 3 2 3广播广播 组播报文抑制组播报文抑制 攻击者不停地向园区网发送大量恶意的广播报文 恶意广播报文占据了大 量的带宽 传统的广播风暴抑制无法识别用户 VLAN 将导致正常的广播流量一 并被交换机丢弃 园区网交换机需要识别恶意广播流量的 VLAN ID 通过基于 VLAN 的广播风暴抑制丢弃恶意广播报文而不影响正常广播报文流量转发 可基 于端口或 VLAN 限制广播报文流量百分比或速率阈值 同时园区网交换机支持组播报文抑制 可基于端口限制组播报文流量百分 比或速率阈值 精品文档 21欢迎下载 3 3 33 3 3园区网边界防御园区网边界防御 企业园区网边界防御分为两个部分 园区出口边界防御 园区内部边界防 御 园区出口连接 Internet 和企业 WAN 网的接入 企业外部网路尤其 Internet 网络 是各种攻击行为 病毒传播 安全事件引入的风险点 通过在 企业出口部署高性能防火墙设备 或者在核心交换机内置防火墙模块 可以很 好的缓解风险的传播 阻挡来自 Internet 企业外部网络攻击行为的发生 企 业园区出口位置部署的独立防火墙设备 或核心交换机内置的防火墙模块 需 要满足高性能 高可靠 高安全的要求 是企业园区网的第一道安全屏障 园区内部边界防御是将企业内部划分为多个区域 分为信任区域和非信任 区域 分别实施不同的安全策略 包括部署区域间隔离 受限访问 防止来自 区域内部的 DOS 攻击等安却措施 建议通过汇聚交换机上集成防火墙模块 单 板 来实现园区内部的边界防御功能 园区网中防火墙功能无论是独立设备部署还是集成在核心 汇聚交换机内部 精品文档 22欢迎下载 都必须支持灵活的业务流控制策略配置 能把特定的流量引到防火墙进行处理 其他流量进行旁路 防火墙本身需要保证高可靠性 需要考虑防火墙的冗余设计 支持 Active Active HA 设计方式 即交换机内集成的多块防火墙板卡支持负载分担 和主备模式 不同交换机内的防火墙支持 Active Active 模式 同时能够处理 流量 3 3 43 3 4园区网出口安全园区网出口安全 随着现代社会网络经济的发展 企业日益发展扩大 办事处 分支机构以 及商业合作伙伴逐步增多 如何将这些小型的办公网络和企业总部网络进行经 济灵活而有效的互联 并且与整个企业网络安全方案有机融合 提高企业信息 化程度 优化商业运作效率 成为企业 IT 网络设计亟待解决的问题 大量普及 的 SOHO 网络 小型办公网络 智能家居网络也越来越注重接入的便捷性和网络 安全性 企业园区网出口设备是企业内部网络与外部网络的连接点 其安全保证能 力非常重要 企业在信息化的过程中面临核心技术 商业机密泄密等信息安全 问题 VPN 技术是企业传输数据非常理想的选择 因为 VPN 技术正式是为了解 精品文档 23欢迎下载 决在不安全的 Internet 上安全传输机密信息 保证信息的完整性 可用性以及 保密性 包括 IPSec VPN 和 SSL VPN 企业办事处 分支机构以及商业合作伙 伴如果采用主机 VPN 客户端接入企业总部网络 那么分之机构网络中的每个主 机需要单独拨号接入 VPN 接入不可控造成内部网络安全隐患 同时也大量消 耗企业总部 VPN 网关隧道资源 如果采用单独的 VPN 网关与企业总部网关建立 VPN 隧道 又面临投资过大的问题 需要有效解决企业分支机构 VPN 接入灵活 性 安全性和经济性之间的矛盾 3 3 53 3 5无线安全设计无线安全设计 无线局域网 WLAN 具有安装便捷 使用灵活 经济节约 易于扩展等有 线网络无法比拟的优点 但是由于无线局域网开放访问的特点 使得攻击者能 够很容易的进行窃听 恶意修改并转发 因此安全性成为阻碍无线局域网发展 的最重要因素 园区用户大多容易接受新鲜事物 虽然一方面对无线网络的需 求不断增长 但同时也让许多潜在的用户对不能够得到可靠的安全保护而对最 终是否使用无线局域网犹豫不决 目前有很多种无线局域网的安全技术 包括物理地址 MAC 过滤 服务集 标识符 SSID 匹配 有线对等保密 WEP 端口访问控制技术 IEEE802 1x WPA Wi Fi Protected Access IEEE 802 11i 等 面对如此多的安全技术 应该选择哪些技术来解决无线局域网的安全问题 才能满足用户对安全性的要 求 3 3 5 1 无线局域网的安全威胁无线局域网的安全威胁 利用 WLAN 进行通信必须具有较高的通信保密能力 对于现有的 WLAN 产品 它的安全隐患主要有以下几点 未经授权使用网络服务未经授权使用网络服务 由于无线局域网的开放式访问方式 非法用户可以未经授权而擅自使用网 络资源 不仅会占用宝贵的无线信道资源 增加带宽费用 还会降低合法用户 的服务质量 地址欺骗和会话拦截地址欺骗和会话拦截 精品文档 24欢迎下载 在无线环境中 非法用户通过侦听等手段获得网络中合法站点的 MAC 地址 比有线环境中要容易得多 这些合法的 MAC 地址可以被用来进行恶意攻击 另外 由于 IEEE802 11 没有对 AP 身份进行认证 攻击者很容易装扮成合 法 AP 进入网络 并进一步获取合法用户的鉴别身份信息 通过会话拦截实现网 络入侵 高级入侵高级入侵 一旦攻击者侵入无线网络 它将成为进一步入侵其他系统的起点 多数学 校部署的 WLAN 都在防火墙之后 这样 WLAN 的安全隐患就会成为整个安全系统 的漏洞 只要攻破无线网络 整个网络就将暴露在非法用户面前 3 3 5 23 3 5 2 华为无线网络的安全策略华为无线网络的安全策略 针对目前无线校园网应用中的种种安全隐患 华为的无线局域网产品体系 能够提供强有力的安全特性 除了传统无线局域网中的安全策略之外 还能够 提供更加精细的管理措施 可靠的加密和认证 设备管理可靠的加密和认证 设备管理 能够支持目前 802 11 小组所提出的全部加密方式 包括高级 WPA 256 位加 密 AES 40 64 位 128 位和 152 位 WEP 共享密钥加密 WPA TKIP 特有的 128 位动态安全链路加密 动态会话密钥管理 802 1x 认证使用 802 1x RADIUS 认证和 MAC 地址联合认证 确保只有合法 用户和客户端设备才可访问网络 支持通过本地控制台或通过 SSL 或 HTTPS 集中管理 Web 浏览器 通过本地 控制台或通过 SSH v2 或 Telnet 远程管理的命令行界面 并可通过无线局域网 管理系统进行集中管理 用户和组安全配置用户和组安全配置 和传统的无线局域网安全措施一样 华为无线网络可以依靠物理地址 MAC 过滤 服务集标识符 SSID 匹配 访问控制列表 ACL 来提供对无 精品文档 25欢迎下载 线客户端的初始过滤 只允许指定的无线终端可以连接 AP 同时 传统无线网络也存在它的不足之处 首先 它的安全策略依赖于连 接到某个网络位置的设备上的特定端口 对物理端口和设备的依赖是网络工程 的基础 例如 子网 ACL 以及服务等级 CoS 在路由器和交换机的端口上定 义 需要通过台式机的 MAC 地址来管理用户的连接 华为采用基于身份的组网 功能 可提供增强的用户和组的安全策略 针对特殊要求创建虚拟专用组 Vertual Private Group VLAN 不再需要通过物理连接或端口来实施 而是 根据用户和组名来区分权限 非法接入检测和隔离非法接入检测和隔离 华为无线网络可自动执行的 AP 射频扫描功能通过标识可去除非法 AP 使 管理员能更好地查看网络状况 提高对网络的能见度 非法 AP 通过引入更多的 流量来降低网络性能 通过尝试获取数据或用户名来危及网络安全或者欺骗网 络以生成有害的垃圾邮件 病毒或蠕虫 任何网络中都可能存在非法 AP 但是 网络规模越大就越容易受到攻击 为了消除这种威胁 可以指定某些 AP 充当射频 卫士 其方法是扫描无 线局域网来查找非法 AP 位置 记录这些位置信息并采取措施以及为这些位置重 新分配信道以使网络处于连接状态并正常运行 AP 射频扫描程序还会检测并调 整引起射频干扰的其他来源 例如微波炉和无绳电话 并且 射频监测配合基于用户身份的组网 不但可使用户在漫游时具有诸 如虚拟专用组成员资格 访问控制列表 ACL 认证 漫游策略和历史 位置 跟踪 带宽使用以及其他授权等内容 还可告知管理人员哪些用户已连接 他 们位于何处 他们曾经位于何处 他们正在使用哪些服务以及他们曾经使用过 哪些服务 监视和告警监视和告警 华为无线网络体系提供了实时操作信息 可以快速检测到问题 提高网络 的安全性并优化网络 甚至还可以定位用户 网络管理应用程序针对当今的动 态业务而设计 它提供了配置更改的自动告警功能 向导界面提供了即时提示 精品文档 26欢迎下载 从而使得管理员能够快速针对冲突做出更改 通过使用软件的移动配置文件功能 管理者可以在用户或用户组漫游整个 无线局域网时控制其访问资源的位置 此外 位置策略能够根据用户的位置来 阻止或允许对特殊应用程序的访问 3 43 4 QuidwayQuidway S5700S5700 系列交换机系列交换机 Quidway S5700 系列全千兆企业网交换机 以下简称 S5700 是华为公 司为满足大带宽接入和以太网多业务汇聚而推出的新一代绿色节能的全千兆高 性能以太网交换机 它基于新一代高性能硬件和华为公司统一的 VRP Versatile Routing Platform 平台 具备大容量 高密度千兆端口 可提 供万兆上行 充分满足客户对高密度千兆和万兆上行设备的需求 同时针对企 业网用户的园区网接入 汇聚 IDC 千兆接入以及千兆到桌面等多种应用场景 融合了可靠 安全 绿色环保等先进技术 采用简单便利的安装维护手段 帮 助客户减轻网络规划 建设和维护的压力 助力企业搭建面向未来的 IT 网络 S5700 系列以太网交换机为盒式设备 机箱高度为 1U 提供标准型 SI 和增强型 EI 两种产品版本 标准型支持二层和基本的三层功能 增强型支 持复杂的路由协议和更为丰富的业务特性 包含型号如下 S5700 24TP SI AC DC S5700 24TP PWR SI S5700 48TP SI AC DC S5700 48TP PWR SI S5700 28C SI S5700 28C EI S5700 28C EI 24S S5700 28C PWR EI S5700 52C SI S5700 52C EI S5700 52C PWR EI 产品外观 S5700 系列交换机包括如下款型 产品外观描述 S5700 24TP SI PWR SI 精品文档 27欢迎下载 24 个 10 100 1000Base T 4 个 100 1000Base X 千兆 Combo 口 分交流供电和直流供电两种 机型 支持 RPS 12V 冗余电源 支持 USB 口 24 个 10 100 1000Base T 4 个 100 1000Base X 千兆 Combo 口 可插拔双电源 交流供电 支持 POE 支持 USB 口 S5700 48TP SI PWR SI 48 个 10 100 1000Base T 4 个 100 1000Base X 千兆 Combo 口 分交流供电和直流供电两种 机型 支持 RPS 12V 冗余电源 支持 USB 口 48 个 10 100 1000Base T 4 个 100 1000Base X 千兆 Combo 口 交流供电 支持 POE 精品文档 28欢迎下载 支持 USB 口 S5700 28C SI EI EI 24S PWR EI 24 个 10 100 1000Base T 4 个 100 1000 Base X 千兆 Combo 口 上行支持 4 1000Base X SFP 2 10GE SFP 4 10GE SFP 插卡 双电源 可插拔 支持 USB 口 24 个 10 100 1000Base T 上行支持 4 1000Base X SFP 2 10GE SFP 4 10GE SFP 插卡 双电源 可插拔 24 个 100 1000Base X 4 个 10 100 1000Base T 千兆 Combo 口 上行支持 4 1000Base X SFP 2 10GE SFP 4 10GE SFP 插卡 双电源 可插拔 24 个 10 100 1000Base T 上行支持 4 1000Base X SFP 或 者 2 10GE SFP 插卡 可插拔双电源 交流供电 支持 POE S5700 52C SI EI PWR EI 精品文档 29欢迎下载 产品特点 1 强大的多业务支持能力 S5700 支持 IGMP v1 v2 v3 Snooping Filter Fast Leave Proxy 等协议 S5700 支持线速的跨 VLAN 组播复制功能 支持捆绑端口的组播负载分担 支持 可控组播 可以充分满足 IPTV 和其他组播业务的需求 S5700 支持 MCE 功能 实现了不同 VPN 用户在同一台设备的隔离 有效解 决用户数据安全问题 同时降低用户投资成本 2 完备的高可靠保护机制 48 个 10 100 1000Base T 上行支持 4 1000Base X SFP 2 10GE SFP 4 10GE SFP 插卡 双电源 可插拔 支持 USB 口 48 个 10 100 1000Base T 上行支持 4 1000Base X SFP 2 10GE SFP 或者 4 10GE SFP 插卡 双电源 可插拔 48 个 10 100 1000Base T 上行支持 4 1000Base X SFP 或 者 2 10GE SFP 插卡 可插拔双电源 交流供电 支持 POE 精品文档 30欢迎下载 S5700 不仅支持传统的 STP RSTP MSTP 生成树协议 还支持 SmartLink 和 RRPP 等增强型以太网技术 可以实现毫秒级链路保护倒换 保证高可靠性的网 络质量 此外 针对 Smartlink 和 RRPP 均提供多实例功能 可实现链路负载 分担 进一步提高了链路带宽利用率 S5700 支持以太 Trunk E Trunk 功能 在使用 E Trunk 之后 CE 设备可 以通过 E Trunk 双归接入到两台 PE 设备上 从而把链路可靠性从单板级提高到 了设备级 大大增强了设备级的可靠性 从而实现了跨设备的链路聚合和链路 负载分担功能 极大的提升了接入侧设备的可靠性 S5700 支持智能以太保护 SEP Smart Ethernet Protection SEP 是一种 专用于以太网链路层的环网协议 适用于半环组网场景 部署时可独立于上层 汇聚设备 并提供 50ms 的快速业务倒换性能 保证业务的不中断 在华为设备 上已经利用 SEP 协议实现了以太网链路管理 SEP 协议简单可靠 倒换性能高 维护方便 拓扑灵活 可以大大方便用户进行网络的管理和规划 S5700 支持双电源冗余供电 也可以交 直流同时输入 用户可灵活选择 单电源工作模式或者双电源工作模式 提高了设备可靠性 S5700 EI 系列支持 VRRP 虚